O agente de ameaças conhecido como Patchwork foi atribuído a uma nova campanha de spear-phishing visando contratantes de defesa turcos com o objetivo de reunir inteligência estratégica.
"A campanha utiliza uma cadeia de execução de cinco estágios entregue via arquivos LNK maliciosos disfarçados de convites para conferências enviados aos alvos interessados em aprender mais sobre sistemas de veículos não tripulados", disse Arctic Wolf Labs em um relatório técnico publicado esta semana.
A atividade, que também mirou em um fabricante não nomeado de sistemas de mísseis de precisão guiada, parece ser motivada geopoliticamente já que o momento coincide com aprofundamento da cooperação de defesa entre Paquistão e Turquia, e os recentes confrontos militares Índia-Paquistão.
Patchwork, também chamado de APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger e Zinc Emerson, é avaliado como um ator patrocinado pelo estado de origem indiana.
Conhecido por ser ativo desde pelo menos 2009, o grupo de hacking tem um histórico de ataques a entidades na China, Paquistão e outros países do Sul da Ásia.
Exatamente um ano atrás, a equipe Knownsec 404 documentou o Patchwork visando entidades com laços com o Butão para entregar o framework Brute Ratel C4 e uma versão atualizada de um backdoor chamado PGoShell.
Desde o início de 2025, o agente de ameaças foi vinculado a várias campanhas visando universidades chinesas, com ataques recentes usando iscas relacionadas a redes de energia no país para entregar um loader baseado em Rust que, por sua vez, decifra e lança um trojan C# chamado Protego para colher uma ampla gama de informações de sistemas Windows comprometidos.
Outro relatório publicado pela firma de cibersegurança chinesa QiAnXin em maio disse que identificou sobreposições de infraestrutura entre o Patchwork e a equipe DoNot (também conhecida como APT-Q-38 ou Bellyworm), sugerindo possíveis conexões operacionais entre os dois agrupamentos de ameaças.
O direcionamento da Turquia pelo grupo de hackers aponta para uma expansão de sua pegada de alvo, usando arquivos maliciosos de atalho do Windows (LNK) distribuídos via e-mails de phishing como um ponto de partida para iniciar o processo de infecção em várias etapas.
Especificamente, o arquivo LNK é projetado para invocar comandos PowerShell responsáveis por buscar payloads adicionais de um servidor externo ("expouav[.]org"), um domínio criado em 25 de junho de 2025, que hospeda um PDF isca imitando uma conferência internacional sobre sistemas de veículos não tripulados, detalhes dos quais são hospedados no legítimo site waset[.]org.
"O documento PDF serve como um chamariz visual, projetado para distrair o usuário enquanto o resto da cadeia de execução corre silenciosamente em segundo plano", disse Arctic Wolf.
Este direcionamento ocorre enquanto a Turquia comanda 65% do mercado de exportação global de UAVs e desenvolve capacidades críticas de mísseis hipersônicos, ao mesmo tempo que fortalece os laços de defesa com o Paquistão durante um período de tensões Índia-Paquistão intensificadas.
Entre os artefatos baixados está uma DLL maliciosa que é lançada usando carregamento lateral de DLL por meio de uma tarefa agendada, levando finalmente à execução de shellcode que realiza uma extensa reconhecimento do host comprometido, incluindo captura de telas, e exfiltrando os detalhes de volta para o servidor.
"Isso representa uma evolução significativa das capacidades desse agente de ameaça, passando das variantes de DLL x64 observadas em novembro de 2024, para os executáveis PE x86 atuais com estruturas de comando aprimoradas", disse a empresa.
Dropping Elephant demonstra um investimento operacional contínuo e desenvolvimento através da diversificação arquitetônica de DLL x64 para formatos PE x86, e a implementação aprimorada do protocolo C2 por meio da imitação de sites legítimos.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...